企業のDX（Digital Transformation）における新たなサイバーセキュリティ新規事業／顧客向けサービスにおけるセキュリティリーンセキュリティ前編

はじめに

製品やサービスの開発手法の一つであったアジャイルは、リーンスタートアップという概念の登場により、ビジネスの世界でも活用され始めています。仮説のもとで製品・サービスを設計し、顧客に使用してもらいながら改良を重ねるリーンスタートアップの登場で、開発手法として誕生したアジャイルがビジネスのスタイルにも応用されるようになったのです。今や企業の規模に関係なく、デジタル時代の働き方・業務の進め方の手法として取り入れられています。

事業やサービスの改善を高速で回すこの手法は、事業（ビジネス）部門主導で進められます。セキュリティにおいてはこれまでのコーポレートIT、コーポレートセキュリティとは全く違った考え方が必要になってくるでしょう。本コラムでは、ビジネス部門主導で進める事業／サービスにおいて、スピードを犠牲にせずにセキュリティを担保する手法について論じていきます。

1．新規事業（デジタルビジネス）において顧客の信頼獲得を実現するには？

デジタル関連の新規事業開発の場面でよく見るのが、事業をスピーディーに進めたい事業担当者と、時間をかけて安全に事を進めたいセキュリティ担当者の間での対立です。セキュリティは本当に、スピードとのトレードオフになってしまうのでしょうか。スピーディーに展開して顧客の信頼を勝ち得たいという事業サイドの事情を加味し、安全性をも担保したセキュリティを実装するにはどうしたらよいでしょうか。

セキュリティの体制はこれまで、基本的には中央集権型でセキュリティ部門が独立した立場から管理するのがよいとされていました。コーポレートの基幹的な領域やベースとなるITインフラに関しては適した考え方であると筆者は思いますが、これを新規ビジネスの領域に持ち込むと、管理が煩雑になってしまいます。こうしたことにより、新規事業を進めるにおいてはセキュリティの考え方（求められる知識も含めて）や体制が異なってきています。

2．新しいセキュリティの考え方の導入の必要性

デジタル関連の新規事業におけるセキュリティの導入には、どのような点を考慮することが必要でしょうか。筆者は以下を重要なポイントと考えます。

事業の特性の理解
事業にスピードが求められることへの最大限の理解
多岐にわたるステークホルダーとの調整
自社以外のセキュリティ対策の可能性

あらゆる分野でデジタルトランスフォーメーション（DX）が進む昨今、事業展開のスピードは格段に増し、企業や組織を取り巻くステークホルダーは広がりを見せています。同時にサイバー攻撃の手口は多様かつ巧妙になり、企業はこれまで以上に入念な対策を練る必要に迫られています。中央集権型で情報セキュリティを進めるこれまでのコーポレートセキュリティとは違う考え方を導入する必要があるでしょう。

そこでPwCは、新しい時代に対応したセキュリティ対策として、「リーンセキュリティ」という考え方の導入を提言します。

3．リーンセキュリティとは？

リーンセキュリティとは、前述のようなビジネスのアジャイル化においてもスピードを落とさず、高速にセキュリティを検討していく方法論です。リーン（無駄のない）なセキュリティを実現することでビジネス部門とセキュリティ部門の対立を解消し、ビジネスに貢献できる、という考え方です。

リーンセキュリティは以下の検討項目からなります。セキュリティ対策の各ステップにおいて、ポリシー、体制、プロセス、テクノロジーを対象に、あるべき姿をスピーディーに検討し、実行に移します。

どこまで中央集権型で管理するのか、どこから個別に対策を用意すべきなのか、そのバランスが重要な論点になるでしょう。

今回は、デジタルビジネスにおけるセキュリティにおける新しい考え方であるリーンセキュリティの定義を紹介しました。次回は、このリーンセキュリティを導入する上でのステップや考えるべきことを深掘りします。

後編はこちら

新規事業／顧客向けサービスにおけるセキュリティリーンセキュリティ前編

はじめに

1．新規事業（デジタルビジネス）において顧客の信頼獲得を実現するには？

2．新しいセキュリティの考え方の導入の必要性

3．リーンセキュリティとは？